【云原生-深入理解Kubernetes-1】容器的本质是进程

news2024/11/16 12:27:12

文章目录

  • 👹 关于作者
  • 一、为什么会出现容器?
  • 二、容器是什么?
  • 三、容器“边界”的实现手段
    • 3.1、进程如何运行的?
    • 3.2、Namespace 与 Docker 边界
      • 容器的本质是一个进程
      • 这是怎么做到的呢?
  • 总结
  • ✊ 最后
  • 参考

在这里插入图片描述

👹 关于作者


大家好,我是秋意零。

😈 CSDN作者主页

  • 😎 博客主页

👿 简介

  • 👻 普通本科生在读
  • 在校期间参与众多计算机相关比赛,如:🌟 “省赛”、“国赛”,斩获多项奖项荣誉证书
  • 🔥 各个平台,秋意零/秋意临 账号创作者
  • 🔥 云社区 创建者
点赞、收藏+关注下次不迷路!

欢迎加入云社区


一、为什么会出现容器?

  • 我们来假设一个场景,某个客户向某个公司定制了一个产品,经过2个月的使用这个产品终于完成了,并且在>自己公司中也是可以安全运行的,这个时候就需要到客户哪里交付,需要现场安装部署。
  • 在安装部署过程中,需要在客户哪里准备好自己产品的运行环境,由于产品比较大,配置环境是非常浪费时间和精力的,而且这个过程中或许还会出现自己公司没有遇到过的问题。
  • 显然这种传统方式,是需要优化改进的。这个时候就出现了容器部署,容器解决了应用打包的这个根本难题

当然还要其它应用场景,这里只是说明一个举例。

二、容器是什么?

紧跟上面的例子:

容器解决了应用打包的这个根本难题

  • 这个打包包含应用环境和应用本身,就是说可以打包自己应用和环境,这就是一个镜像,有了这个镜像,我们只需要携带这个镜像到客户现场运行这个镜像就行了,这时运行的镜像就称为容器。
  • 容器其实是一种沙盒技术。顾名思义,沙盒就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰;而被装进集装箱的应用,也可以被方便地搬来搬去。

专业名词:

  • image: 镜像包含应用和应用环境
  • contaienr: 容器是镜像的运行出来的状态
  • registry: 仓库是存放镜像的地方

容器本身没有太大价值,有价值的是“容器编排” (相当于是说,技术本身没有价值,价值在于解决实际问题)

  • 编排主要是容器之间的关系,也之所以 Kubernetes 项目和CNCF社区 火的原因之一

这里简单提一嘴: Kubernetes 可以看作是操作系统,而容器就是应用程序进程

在这里插入图片描述

三、容器“边界”的实现手段

3.1、进程如何运行的?

  • 假如,你要写一个计算加减法的程序,这个程序需要的输入来自一个文件,计算结果输出到另一个文件
  • 因为计算机只认识二进制 0 和 1,不管用什么语言编写,都需要将这段代码编译成二进制文件,这样计算机才能运行。
  • 我们知道我们的数据(程序)是存放在磁盘当中的,运行程序时需要将磁盘数据放入内存中,这样CPU、寄存器和内存协作计算,还有被打开的文件,以及各种各样的 I/O 设备在不断地调用中修改自己的状态,这个程序就运行起来了。
  • 一旦“程序”被执行起来,它就从磁盘上的二进制文件,变成了内存中的数据、寄存器里的值、堆栈中的指令、被打开的文件,以及各种设备的状态信息的一个集合。这样的一个程序运行集合就是我们的今天的主角:进程
  • 所以,对于进程来说,它的静态表现是程序,存放在磁盘中动态表现是进程,数据和状态的集合

3.2、Namespace 与 Docker 边界

  • 而容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个“边界”。
  • 对于 Docker 等大多数 Linux 容器,Cgroups 技术是用来制造约束的主要手段,而 Namespace 技术则是用来修改进程视图的主要方法。

可能觉得 Cgroups 和 Namespace 这两个概念很抽象,我们一起动手实践一下,就很容易理解这两项技术了。

我们使用 docker run 运行一个镜像容器,-it 参数是分配一个文本输入/输出环境,TTY

[root@master01 ~]# docker run -it busybox /bin/sh
/ # ps
PID   USER     TIME  COMMAND
    1 root      0:00 /bin/sh
    7 root      0:00 ps

可以看到,我们第一个进程号是 PID=1,并且运行的是 /bin/sh 命令,还有一个就是我们刚才执行的 ps 命令
可以看到,我们已经被 Docker 隔离在一个跟宿主机完全不同的环境当中。

容器的本质是一个进程

宿主机上我们执行 ps 命令可以看到,宿主机上有个进程,这个进程是我们运行容器时所使用的命令,也代表了我们容器也是一个进程表现出来的,所以 容器的本质是一个进程

[root@master01 ~]# ps -aux | grep "/bin/sh"
...
root      97285  0.3  0.2 933264 21796 pts/0    Sl+  11:33   0:00 docker run -it busybox /bin/sh
...

为了表现这个容器是进程我们做一个实验

  • 首先连接工具开两个窗口
  • 一个运行的是 docker run -it busybox /bin/sh 这样一条命令
  • 另一个执行 ps -aux | grep "/bin/sh" 找到这里的 docker run -it busybox /bin/sh 进程,执行 kill -9 97285 (这里通过 ps 命令可以看到我的容器 PID 是97285)杀掉这个进程,如图可以看到 docker run -it busybox /bin/sh 进程退出了,说明了 容器的本质是一个进程

在这里插入图片描述

这是怎么做到的呢?

  • 本来,每当我们在宿主机上运行了一个 /bin/sh 程序时,操作系统都会给它分配一个进程编号,比如 PID=1000。 进程编号具有唯一标识,就像员工的工号,所以我们可以看作 /bin/sh 是公司里的第 1000 名员工,而 1 号员工就是老板,管理全局的人。
  • 现在,我们通过 Docker 把这个 /bin/sh 程序运行在一个容器中。这时,Docker 就会在这个 1000 号员工入职时给他一个“障眼法”,让他永远看不到前面的其他 999 个员工,更看不到老板。这样,他就会以为自己第 1 号员工。

这种机制,其实就是对被隔离应用的进程空间做了手脚,也就是使用了 Linxu 中的 Namespace 技术

这种 Namespace 使用方式,其实是 Linux 创建新进程的一个可选参数,比如:

# 创建一个新的进程,并且返回它的进程号 pid
int pid = clone(main_function, stack_size, SIGCHLD, NULL); 

而当我们用 clone() 系统调用创建一个新进程时,就可以在参数中指定 CLONE_NEWPID 参数(新PID),比如:

int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL); 

这时,新创建的这个进程将会“看到”一个全新的进程空间,在这个进程空间里,它的 PID 是 1。之所以说“看到”,是因为这只是一个“障眼法”,在宿主机真实的进程空间里,这个进程的 PID 还是真实的数值,比如 100。

  • 我们还可以多次执行上面的 clone() 调用,这样就会创建多个 PID Namespace,而每个 Namespace 里的应用进程,都会认为自己是当前容器里的第 1 号进程
  • 除了我们刚刚用到的 PID Namespace,Linux 操作系统还提供了 Mount、UTS、IPC、Network 和 User 这些 Namespace,用来对各种不同的进程上下文进行“障眼法”操作。
  • 比如,Mount Namespace,用于让被隔离进程只看到当前 Namespace 里的挂载点信息;Network Namespace,用于让被隔离进程看到当前 Namespace 里的网络设备和配置。

这,就是 Linux 容器最基本的实现原理了

Docker 容器这个听起来玄而又玄的概念,实际上是在创建容器进程时,指定了这个进程所需要启用的一组 Namespace 参数。这样,容器就只能“看”到当前 Namespace 所限定的资源、文件、设备、状态,或者配置。而对于宿主机以及其他不相关的程序,它就完全看不到了。

所以说,容器,其实是一种特殊的进程而已。

总结

相信大家学容器时都看过这个虚拟机和容器的对比图。
在这里插入图片描述

  • 左边是虚拟机的工作原理,其中 Hypervisor 软件是虚拟机最重要的部分它可以实现模拟出各种硬件,比如:CPU、内存、磁盘等,在 Hypervisor 软件层之上创建 Guest OS 也就是客户机操作系统,Guest OS 和 Hypervisor 模拟出来的硬件交互 ,这样用户应用程序就可以运行在这个虚拟机中,用户自然看到的就是这个新的操作系统的文件系统结构,这也是虚拟机也能起到将不同应用程序相互隔离的原因

  • 右边,则用一个名为 Docker Engine 的软件替换了 Hypervisor。这也是为什么,很多人会把 Docker 项目称为“轻量级”虚拟化技术的原因,实际上就是把虚拟机的概念套在了容器上这样的说明并不严谨,因为 容器本质是运行在宿主机上的进程,使用的是 Namespace 技术,通过 Namespace 技术实现网络、磁盘、PID、用户等隔离

相信你此刻已经会心一笑:容器隔离不过都是“障眼法”罢了

✊ 最后


👏 我是秋意临,欢迎大家一键三连、加入云社区

👋 我们下期再见(⊙o⊙)!!!


参考

参考《深入剖析Kubernetes》作者 张磊

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/465072.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

践行公益担当|人情如故,爱心依旧

爱心助学 情暖童心 随着改革开放,少数民族地区发生了翻天覆地的变化,城乡经济持续发展,人民生活水平日益提高。但对于很多居住在偏远山区的民族自然村,由于山区的地形限制,自然生存环境恶劣,交通及文化、教…

Android 项目必备(四十五)-->2023 年如何构建 Android 应用程序

Android 是什么 Android 是一种基于 Linux 内核并由 Google 开发的开源操作系统。它用于各种设备包括智能手机、平板电脑、电视和智能手表。 目前,Android 是世界上移动设备使用最多的操作系统; 根据 statcounter 的一份最近 12 个月的样本报告;Android 的市场份额…

C++ 编程笔记(本人出品,必属精品)

文章目录 Part.I IntroductionChap.I 快应用 Part.II C 基础Chap.I 一些待整理的知识点Chap.I 常用的库或类 Part.III 杂记Part.X Others WorkChap.I 大佬的总结Chap.II 大佬的轮子 Part.I Introduction 前言:C 用的人还是比较多的,主要是它比较快并且面…

2023-4-26-C++11新特性之正则表达式

🍿*★,*:.☆( ̄▽ ̄)/$:*.★* 🍿 💥💥💥欢迎来到🤞汤姆🤞的csdn博文💥💥💥 💟💟喜欢的朋友可以关注一下&#xf…

太为难我了,阿里面试了7轮...

前言 今年的大环境非常差,互联网企业裁员的现象比往年更严重了,可今年刚好是我的第一个“五年计划”截止的时间点,说什么也不能够耽搁了,所以早早准备的跳槽也在疫情好转之后开始进行了。但是,不得不说,这…

SOLIDWORKS认证考试流程

一、SOLIDWORKS认证考试前的准备工作 1、检查电脑硬件设备是否可以正常使用,如键盘鼠标等。 2、检查Solidworks软件是否可以正常使用。 3、关闭电脑所有杀毒软件。 4、检查电脑网络(外网)是否正常。 5.请联系我们获取考试系统软件安装包。…

redis面试题(二)附答案

书接上回,接着分享面试题,最近开发了几个小伙伴的项目,耽误更新了,来点干货,表示歉意。大家有需求也可以找小编。 2、缓存穿击 业务通常会有几个数据会被频繁地访问,比如秒杀活动,这类被频地访…

好程序员:前端JavaScript全解析——Canvas绘制形状(上)

●今天,我们来通过 canvas 提供的方法开绘制一些简单的形状绘制矩形 绘制基础矩形。下面一起看看好程序员老师的讲解吧~ ●语法 : 工具箱.rect( 矩形起点 x 轴坐标, 矩形起点 y 轴坐标, 矩形宽度, 矩形高度 ) // 0. 获取到页面上的 canvas 标签元素节点 const canva…

Camtasia2023简体中文标准版免费更新下载

Camtasia专业的 屏幕录制和视频剪辑软件3000多万专业人士在全球范围内使用Camtasia展示产品,教授课程,培训他人,以更快的速度和更吸引人的方式进行沟通和屏幕分享。使您在Windows和Mac上进行录屏和剪辑创作专业外观的视频变得更为简单。 Camt…

Vue3 element-plus el-select 无法选中,又不报错

html 结构 <el-form :model"conditionForm"ref"conditionForm"label-width"100px" class"demo-ruleForm"><el-selectv-model"conditionForm.personnel"multipleplaceholder"Select"style"width: 2…

知网导入EndNote

首先进入知网&#xff0c;搜索你想要找的期刊论文。 选择EndNote 点击导出 浏览器自动下载以txt为后缀的文件 导入到EndNote中

【C++】异常,你了解了吗?

在之前的C语言处理错误时&#xff0c;会通过assert和错误码的方式来解决&#xff0c;这导致了发生错误就会直接把程序关闭&#xff0c;或者当调用链较长时&#xff0c;就会一层一层的去确定错误码&#xff0c;降低效率&#xff0c;所以c针对处理错误&#xff0c;出现了异常&…

ChatGPT写小论文

ChatGPT写小论文 只是个人对写小论文心得?从知乎,知网自己总结的,有问题,可以留个言我改一下 文章目录 ChatGPT写小论文-1.写论文模仿实战(狗头)0.论文组成1.好论文前提:2.标题3.摘要4.关键词5.概述6.实验数据、公式或者设计7.结论&#xff0c;思考8.参考文献 0.模仿1.喂大纲…

【云原生】Dockerfile制作WordPress镜像,实现Compose + K8s编排部署

文章目录 &#x1f479; 关于作者前言环境准备目录结构 dockerfile制作镜像yum 脚本Dockerfile-mariadb 镜像Dockerfile-service 镜像docker compose 编排 K8s部署svcdeploy ✊ 最后 &#x1f479; 关于作者 大家好&#xff0c;我是秋意零。 &#x1f608; CSDN作者主页 &…

lambda的toMap是不是要注意点,线上事故

异常回顾 先看代码&#xff1a; dbTaxiDrivers.ifPresent((drivers) -> { map.putAll(drivers.stream() .collect(Collectors.toMap(TaxiDriverInfo::getOperationId, item -> item))); }); 相信很多为了减少2层for循环&#xff0c…

✨✨✨ ❃ ♕ ꕥ Xpath解析html获取表情符号,丰富你的文章 ꧁ ꧂꧁ ꧂

✨✨✨ ❃ ♕ ꕥ Xpath解析html获取表情符号&#xff0c;丰富你的文章 ꧁ ꧂꧁ ꧂ 1. 推荐几个好玩的表情符号网站2. xpath解析html获取表情3. xpath解析html源码3.1 parse_li.py3.2 symbol2.html 参考 1. 推荐几个好玩的表情符号网站 &#x1f495; &#x1f9da; &#x1f6…

让科幻照进现实,未来出行革命

在“新四化”&#xff08;电动化、网联化、智能化、共享化&#xff09;和“碳中和、碳达峰”双碳目标下&#xff0c;中国汽车产业正经历着前所未有之大变局。作为“智能化”核心之一的自动驾驶&#xff0c;在监管、技术和商业化方面持续积累、不断完善&#xff0c;即将迈入发展…

案例1:Java超市管理系统设计与实现开题报告

博主介绍&#xff1a;✌全网粉丝30W,csdn特邀作者、博客专家、CSDN新星计划导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ &#x1f345;文末获取源码联系&#x1f345; &#x1f447;&#x1f3fb; 精彩专…

浏览器【控制台】的小妙招-dom复制

了解前端开发的朋友应该对浏览器的控制台非常熟悉&#xff0c;毕竟日常里除了wife就是跟浏览器相处的最久了。 1、唤出控制台 打开一个网页&#xff1a; 按下键盘【F12】或者鼠标在网页任意位置【右键- 检查】&#xff0c;即可唤出浏览器的【控制台】 2、日常开发使用之【复制…

QuickTime Player + BlackHole解决Mac不能录内部声音

背景 在用mac录制屏幕时&#xff0c;发现不能录入电脑内的声音。 App Store中有一些收费的屏幕录制软件&#xff08;也需要安装特定的虚拟声卡&#xff09;。 现在实现完全免费的屏幕录制&#xff0c;QuickTime Player BlackHole组合&#xff0c;QuickTime Player是mac自带…